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Beschreibung " " " 

Verfahren und Anordnung zum Entwurf einer Steuerung fur einen 
GesamtprozeB 

5 

Die Erfindung betrifft ein Verfahren und eine Anordnung zum 
Entwurf einer Steuerung fur einen Gesamtprozefl , der mehrere 
Einzeiprozesse umfaflt. 

10 Die Steuerung einer komplexen technischen Anlagen bzw. eines 
Systems {Gesamtprozeft ) umfaJit mehrere kieinere 

Steuerungseinheiten, die fur bestimmte Teile (Einzeiprozesse) 
der Anlage bzw. des Systems vorgesehen sind. Eine erste 
Steuerungseinheit fur einen ersten Einzelprozefi ist dabei auf 
15 diesen Einzelprozefl beschrankt . Gleiches gilt fur eine zweite 
Steuerung fUr einen zweite'n Einzelprozefl . Auch wenn ein 
Zusammenspiel der ersten mit der zweiten Steuerung weitgehend 
fehlerfrei funktioniert , so ist nicht gewahr leis tet , dafl bei 
geringfugiger Modifikation des ersten oder des zweiten 
20 Einzelprozesses noch eine fehlerfreie Funktion der gesamten 
Anlage gewahrleis tet ist. So kann einekleine Anderung an 
einem Prozefl oder ein Hinzufugen eines dritten Prozesses zu 
nur empirisch nachweisbaren Konflikten und Blockierungen 
zwischen den Prozessen fuhren. Dabei ist es moglich, daii ein 
fehlerhafter Zustand des Gesamtprozesses einen empirischen 
Test uberwindet und somit unerkannt bleibt. Dies ist gerade 
im Hinblick auf eine sicherheitskritische Anlage. nicht 
akzeptabel, da in j edem Fall gewahr leistet sein muii, dafi kein 
unvorhergesehenes Ereignis im Zusammenspiel der Prozesse 
30 auftritt. 



Neben den zu vermeidenden unerlaubten Zustande gibt es beim 
Ablauf eines Prozesses sogenannte erlaubte Zustande, die - 
bei ordnungsgemaBer Funktion - fur den Prozefi ausschliefllich 
3 5 auf treten so lien . 
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Die Aufgabe der Erf inching "besteht darin, ein Verfahren und 
eine Anordnung zum Entwurf einer Steuerung fur einen 
GesamtprozeB anzugeben, wobei (formal) sichergestellt wird, 
daB keine Behinderung der Einzelprozesse auftritt und nur 
erlaubte Zustande belegt werden. 

Diese Aufgabe wird gemafl den Merkmalen der unabhangigen 
Patentanspriiche gelost. 

Im Rahmen der Erfindung wird ein Verfahren zum Entwurf einer 
Steuerung fur einen GesamtprozeB, der mehrere Einzelprozesse 
umfaat, angegeben. Bei dem Verfahren werden Funktionalitaten 
der Einzelprozesse identif iziert . Weiterhin wird eine 
Validierung durchgefuhrt, indem ein Zusammenspiel der 
Funktionalitaten gemaB einer Vorgabe fur den GesamtprozeB 
automatisch dahingehend verifiziert wird, dafi jeder 
Einzelprozefl wahrend des Ablaufs nicht gestort wird. Aus dem 
Ergebms der Validierung werden Daten fur die Steuerung des 
Gesamtprozesses ermittelt. 

Ein Vorteil des Verfahrens besteht darin, daB in dem Schritt 
der Validierung sichergestellt wird, daB jeder Einzelprozefl 
ungestort ablaufen kann. Ein weiterer Vorteil besteht in der 
automatischen Generierung von Daten fur die Steuerung des 
Gesamtprozesses. Somit werden mit Hilfe des Verfahrens 
systematise Daten fur die Steuerung des Gesamtprozesses 
erstellt . 





Eine Ausgestaltung besteht darin, daB nach der Validierung 
eine Ahlauf optimierung durchgefuhrt wird. So ist 



es 



sicherlich ein Vorteil, daB Einzelprozesse storungsfrei 
ablaufen k6nnen, ein anderer Vorteil besteht darin, dafl die 
mehreren Einzelprozesse moglichst zeitoptimiert ablaufen 
Ziel der Ablaufoptimierung ist es, die Durchfuhrung 
vorgegebener Aktionen der mehreren Einzelprozesse parallel 
und in moglichst kurzer Zeit ohne Storungen vorzunehmen 
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Eine Wei terbildung besteht darin, daft die DaterTfiir die 
Steuerung des Gesamtpro zesses in Form eines abiauf f ahigen 
Codes bestimmt werden. Hiermit ist sichergestellt, daft das 
Ergebnis der Validierung und gegebenenf alls der 
5 Ablaufoptimierung vollstandig automatisch in die Steuerung 
des Gesamtprozesses einflieftt. Es wird beispielsweise ein in 
der Programmiersprache C oder der Programmiersprache C++ 
abgefaftter Programmcode generiert, der die Steuerung des 
Gesamtprozesses veranlaftt bzw. sichers tellt . 




Insbesondere kommt der Vorteil bei der Generierung von 
abiauf fahigem Code zum Tragen, wenn auch Funkt ionalitaten der 
Einzelprozesse in Form jeweiliger Programmeinheiten 
bereitgestellt werden. Entsprechen mehrere Funktionalitaten 



15 mehrerer Einzelprozesse jeweils mindestens einer 

Programmeinheit, so dienen die Daten zur Steuerung, die in 
Form abiauf f ahigen Codes generiert wurden, der Koordination 
der einzelnen Programmeinheiten, bzw. verwendet der 
ablauffahige Code die von den Programmeinheiten 

20 bereitgestellten Schni ttstellen, z.B. Funktionsauf ruf e oder 
Methodenauf ruf e . 



Auch ist es eine Wei terbildung, daft ein Einzelprozeft gestort 
wird, fails eine der folgenden Bedingungen erfiillt ist: 

Ml 

a) Der Emzelprozefi wird durch einen anderen Einzelprozefl 
blockiert. Im Fall der Blockierung wollen zwei 

Einzelprozesse eine physikalische Ressource in 

unterschiedlicher Weise nutzen. In so einem Fall kommt e: 
30 zur Blockierung, da die Ressource nicht beiden 

Einzelprozessen gleichzeitig entsprechen kann. 



b) Der Einzelprozefi erreicht einen unerlaubten oder einen 

den Abiauf des Gesamtsystems gefahrdenden Zustand. Es ist 
eine wesentliche Anforderung an eine sicherhei tskritische 
Anwendung, dafi keine gefahrdenden Zustande eingenommen 
werden . 
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Auch wird im Rahmen der Erfindung eine Anordnung zur 
Steuerung eines Gesamtprozesses angegeben, welcher 
GesamtprozefJ mehrere Einzelprozesse umfafit, wobei eine 
Prozessoreinheit vorgesehen ist, die derart eingerichtet ist, 
dafi Funktionalitaten der Einzelprozesse identif izierbar sind. 
Ferner ist eine Validierung durchf uhrbar , indem ein 
Zusammenspiel der Funktionalitaten gemafl einer Vorgabe fur 
den Gesamtprozefl automatisch dahingehend verifiziert wird, 
dafi jeder Einzelprozefi wahrend des Ablaufs nicht behindert 
wird. SchlieBlich sind die Daten, die aus dem Ergebnis der 
Validierung resultieren, fur die Steuerung des 
Gesamtprozesses einsetzbar. 

Diese Anordnung ist insbesondere geeignet zur Durchfuhrung 
des erf indungsgemafien Verfahrens oder einer seiner vorstehend 
erlauterten Weiterbildungen . 

Weiterbildungen der Erfindung ergeben sich auch aus den 
abhangigen Anspriichen. 

Ausfuhrungsbeispiele der Erfindung werden nachfolgend anhand 
der Zeichnung dargestellt und erlautert. 

Es zeigen 

Fig.l einen Revolver-Kopf eines Bes tuckungsautomaten; 





Fig. 2 Schritte eines Verfahrens zur Generierung einer 
Steuerung eines Gesamtprozesses; 

Fig. 3 einen Zustandautomaten, der das Systemverhalten der 
"scan"-Operation darstellt; 



Fig. 4 einen Zus tandsautomaten, der das spezifische 
Systemverhalten des Scan-Tests darstellt; 
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Fig. 5 einen Zustandsautomaten, der eine sequentielle 
Abarbeitung des Vacuum- Tests und des Scan-Tests 
darstellt; 



5 Fig. 6 zwei Zustandsautomaten, die eine parallele 

Abarbeitung des Vacuum-Tests und des Scan-Tests 
darstellen; 

Fig. 7 mehrere Zustandsautomaten, die ein Systemverhalten 
10 darstellen; 



einen Zus tandsautomat , der ein spezifisches 
Systemverhalten darstellt; 

zwei Zustandsautomaten, die jeweils spezifisches 
Systemverhalten fur den Vacuum-Test und den Scan-Test 
darstellen; 

Fig. 10 einen Zus tandsautomat fur den Gesamtprozefi. 

20 

Figur 1 zeigt einen Revolverkopf 101 eines Bes tuckautomaten . 
Der Revolverkopf 101 nimmt Bauteile auf, und plaziert sie an 
einer vorgegebenen Zielposi t ion . Der Revolverkopf enthalt 12 
Vakuumpipetten 102, die als Aufnahme und Plazierungswerkzeug 

fc^tt^ dienen. 1st der Revolverkopf 101 uber langere Zeit im 
Einsatz, so treten VerschleiBerscheinungen auf, die 
Vakuumpipetten verschmutzen und nutzen sich ab . Demzufolge 

ist es notwendig, periodische Tests durchzuf iihren, urn den 

Zustand der Vakuumpipetten 102 zu ermitteln und diese 
30 gegebenenf alls auszutauschen . Zwei verschiedene Tests werden 
von zwei unter schiedlichen C-Programmen durchge f iihrt . Ein 
Vakuumtest 103 dient zur Feststellung, ob die jeweilige 
Vakuumpipette 102 noch den vorgesehenen Unterdruck erzeugen 
kann, ein Scan-Test 104 zeigt auf, inwieweit die einzelne 
35 Vakuumpipette 102 phys i kalischen Verschleifterscheinungen 
unterliegt und ob sie ausgetauscht werden muft . Fur die 
nachfolgenden Betrachtungen greifen der Scan-Test 104 und der 




Fig. 8 



15 Fig. 9 
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Vakuum-Test 103 auf ein und ciieselbe Ressource zu : Das Drehen 
des Revolverkopf es 101. 

Nachfolgend wird dargelegt, wie eine Steuerung eines 
5 Gesamtprozesses bestimmt wird, wobei Konf 1 ikt f reiheit 

garantiert wird und eine zeitgleiche Ausfuhrung von Vakuum- 
Test 103 und Scan-Test 104 moglich ist, ohne dafi der 
Gesamtprozeil unvorhergesehene Zustande einnehmen kann. Dazu 
sind die Funktionsauf ruf e der obengenannten C-Programme zu 
0 koordinieren . 



Figur 2 zeigt Schritte eines Verfahrens zur Generierung einer 
Steuerung eines Gesamtprozesses. ^ 

5 In einem Schritt 201 werden Funktionalitaten der 

Einzelprozesse identif iziert < Strukturierung) . Weiterhin 
werden kontrollierbare und unkontrollierbare Ereignisse 
identif iziert . Kontrollierbare Ereignisse sind Ereignisse, 
die durch die Steuerung vermieden werden konnen. 
Unkontrollierbare Ereignisse sind Ereignisse, die nicht 
vermieden werden konnen, z.B. Ausgangswerte von Sensoren Oder 
Ergebnisse von Aktionen. Ferner werden Sequenzen von 
Ereignissen identif iziert, die ein mogliches physi kalisches 
Systemverhalten darstellen. Auch werden Sequenzen von 
Ereignissen identif iziert , die ein spezifisches . 
Systemverhalten (auf gabenbezogenes Systemverhalten) unter deifj 
Einfluli der Steuerung darstellen. 



Der Schritt der Strukturierung 201 umfafit ferner die 
Darstellung eines Zustandsautomaten, wie in Figur 3 fur da 
"Scan-Verhalten" dargestellt ist. 

Von einem Initialzustand 301 aus uberfuhrt ein "scan"- 
Kommando den Automaten in einen Zustand 302, in dem die 
Vakuumpipette 102 auf VerschleiG untersucht wird. Ist das 
"Scannen" abgeschlossen, so wird in den Zustand 301 
zuruckgekehrt. Ebenso wird bei Auftreten eines Fehlers von 
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ciem Zustand 3 02 in den Zustand 3 01 zuruckgekehrt (FehlerV 
Vorgang des Scannens zeigt an, daft die Vakuumpipette 102 
ausgewechselt werden muft) . Ein "Recover " -Koinmando uberfuhrt 
den Zustand 301 in einen Zustand 303, in dem zu 
5 Startbedingungen zuruckgekehrt wird (Recovering) . 1st der 
Vorgang "Recovering" beendet, so wird in den Zustand 301 
("done recover") zuriickgesprungen . 




Auch das spezifische Systemverhalten wird in Form eines 
10 Automaten dargestellt. In Figur 4 ist hierzu ein Automat 
dargestellt, der dem spezifischen Systemverhalten fur die 
Koordination der Ereignisse "turn", "done turn", "error 
turn", "scan", "done scan", "error scan", "counter" 
entspricht . 
15 

Figur 4 zeigt einen Zustandsautomaten, der das spezifische 
Systemverhalten des Scan-Tests 104 darstellt. Ein 
Ini tialzus tand 401 wird durch ein "Turn"-Kommando in einen 
Zustand 402 uberfuhrt. Ist die Drehung des Revolverkopf es 101 
20 beendet, so erfolgt ein Ubergang von Zustand 402 in einen 
Zustand 403. Tritt bei der Drehung ein Fehler auf ("error 
turn"), so geht der Zustand 402 in einen Zustand 407 iiber . 
Von dem Zustand 403 wird durch das " scan" -Kommando ein 
(Jbergang in einen Zustand 404 angestoflen, bei abgeschlossenem 
Scan-Test 104 erfolgt ein Ubergang von dem Zustand 404 in 
einen Zustand 405. Die Erhohung eines Zahlers (counter) 
uberfuhrt den Zustand 405 in einen Zustand 406. Nun wird 

uberpruft, ob der Zahler einen Wert 12 bereits erreicht hat. 

Ist dies der Fall, so wird der Zustand 406 in den Zustand 407 
30 uberfuhrt, weist der Zahler einen kleineren Wert als 12 auf, 
so geht der Zustand 406 in den Zustand 401 liber. Verschiedene 
Kommandos stellen sicher, daft der Zustand 407 beibehalten 
wird: "recover", "done recover", "operator input", "stop". 
Ein "repeat "-Kommando veranlaftt eine Wiederholung des 
35 Vorgangs, indem der Zustand 407 in den Zustand 401 
ubergefuhrt wird. 
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Ein nachster Schritt 202 in Figur 2 stellt eine Valiciierung 
der Steuerung des Gesamtprozesses sicher, indem automatisch 
Eigenschaf ten des Gesamtprozesses verifiziert werden. Solche 
Eigenschaf ten sind insbesondere eine Blockierungs- bzw. 
Nichtblockierungseigenschaf t und eine 

Kontroilierbarkeitseigenschaf t . Arbeiten verschiedene 
Einzelprozesse parallel nebeneinander und teilen diese 
Einzelprozesse sich eine oder mehrere Ressourcen (hier das 
Drehen des Revolverkopf es 101), so ist Blockierungs freiheit 
gewahrleistet, falls die Einzelprozesse ihre Aufgaben bis zu 
Ende durchfuhren konnen, ohne sich gegenseitig durch den 
Zugriff auf gemeinsame Ressourcen zu behindern. In dem 
dargestellten Ausf uhrungsbeispiel benutzen der Einzelprozefi 
Scan-Test 104 und der Einzelprozefl Vakuum-Test 103 gemeinsam 
die Ressource "Drehen des Revolverkopf s 101". Dies kbnnte zu 
einer gegenseitigen Blockierung fuhren, falls die Steuerung 
des Gesamtprozesses dieses nicht praventiv verhindert. 

Weiterhin erfolgt die Validierung 202, indem eine 
"PlausilDiliHatsuberprufung der Strukturierung 201 des zu 
steuernden Gesamtprozesses durch Beobachtung oder Simulation 
des Systems und des spezifischen Systemverhaltens in Form 
eines Zustandsautomaten erfolgt. Schliefilich wird automatisch 
die Verifikation vorgegebener Eigenschaf ten durchgef iihrt . 
Eine dieser Eigenschaf ten ist 

"nachdem ein Fehler im Scan-Test 104 aufgetreten ist 
(das Ereignis "error scan" wurde angezeigt) setzt stets 
die "rec overy"-Operation (das Ereignis "recover") ein". 



Die Validierung 202 fiihrt, falls diese nicht vollstandig 
erfolgt und die den ungestorten Ablauf der Einzelprozessen 
formal verifiziert, wiederholt, indem zu dem Schritt 201, der 
Strukturierung der Funktionalitaten der Einzelprozesse, 
zuruckverzweigt wird. Ist die Validierung 202 erfolgreich, so 
wird automatisch Code fur die Steuerung des Gesamtprozesses 
generiert (vgl. Obergang zu Schritt 203 in Figur 2). 
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Dabei werden bei der automatischen Generierung "der Steuerung 
des Gesamtprozesses insbesondere kontrollierbare Ereignisse 
den verkniipften Funktionsauf ruf en innerhalb der 
Einzelprozesse und damit den zugehorigen Programmcode- 
5 Fragmenten zugeordnet . Die Zuordnung von unkont rollierbaren 
Ereignissen werden entsprechenden Riickgabewerten von 
Funktionsauf ruf en oder Ausgabewerten von Sensoren zugeordnet. 
Ein Beispiel stellt der Funktionsauf ruf des Ereignisses 
"scan" dar, der sich auf die entsprechende Programmcode- 
10 Fragment (C-Programm Routine "Scan-Test") bezieht, die als 
Ruckgabewerte "scan error" oder "scan done" umfafit. 




Die automatische Generierung des C-Codes fur die Steuerung 
des Gesamtprozesses wird aus verschiedenen Zus tandsautomaten, 



15 Zuordnungen und/oder Programmcode- Fragmenten ermittelt. Die 
einzelnen im Schritt 201 struktur ierten Funktionali taten 
' entsprechen dabei den entsprechenden Zus tandsautomaten bzw. 
Programmcode-Fragmenten . 



20 Wie bereits erwahnt, erfolgt eine parallelisierte 

Durchfiihrung des Vakuum-Tests 103 und des Scan-Tests 104, 
wobei jeder Test an verschiedenen physikalischen Orten 
ausgefiihrt wird (vgl. Figur 1 gegeniiber 1 iegende Durchfiihrung 
der beiden Tests) . 

•a 

^^^m Figur 5 und Figur 6 zeigen das gewiinschte Verhalten der 

Einzelprozesse fiir den Vakuum-Test 103 und den Scann-Test 

104, wobei in Figur 5 eine sequentielle Abarbeitunq beider 

Tests und in Figur 6 eine parallele Abarbeitung beider Tests 

30 dargestellt ist. Bei der parallelen Abarbeitung in Figur 6 
kann eine Blockierung der beiden Einzelprozesse dadurch 
eintreten, dali nach dem Ereignis "recovery vacuum" eines der 
beiden Ereignisse "turn" oder "counter" nicht eintreten wird. 
Dadurch ist ein von beiden parallel ablaufenden 

35 Einzelprozessen benotigtes Drehen ( " turn" -Kommando ) des 

Zylinder kopf es nicht gewahr leistet . Wahrend der eine Automat 
den Zylinderkopf drehen will, will der andere Automat den 
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Zahler hochsetzen, es komicit demnach zu einer Blockierung. 
Eine sequentielle Abarbei tung, wie in Figur 5 gezeigt, ist 
hingegen mbglich, wobei hintereinander die Tests fur je 12 
Vakuumpipetten 102 durchgefuhrt werden und somit der 
Zylinderkopf 101 zweimal vollstandig gedreht werden mufl. Der 
Zeitaufwand fur die sequentielle Abarbeitung ist ungleich 
grofier als fur eine (nahezu) parallele Abarbeitung. 

In Anlehnung an Figur 4 sind Figur 5 bis Figur 10 analog aus 
sich heraus verstandl ich . So umfafit die Figur 5 die Zustande 
501 bis 517, Figur 6 die Zustande 601 bis 618, wobei die 
Zustande 501 bis 509 und 509 bis 517 die jeweils 
eigenstandigen, parallel ablaufbaren Automaten gemafi Figur bi 
kennzeichnen. Das Ereignis, das jeweils ausschlaggebend fur " 
den Ubergang eines Zustandes in einen anderen ist, ist in den 
Figuren jeweils entlang der Obergangspf ei le angezeigt. 

Ereignisse mit gleichem Naraen treten in Automaten, in denen 
das jeweilige Ereignis definiert ist, synchron auf. Im 
vorliegenden Ausf uhrungsbeispiel tritt das Ereignis "Scan" 
auf, falls der Zustandsautomat des Systemverhaltens (vgl. 
Figur 7) sich im Zustand "0" befindet, bzw. sich der 
Zustandsautomat des spezifischen Systemverhaltens gemaii Figur 

8 in dem Zustand 0 oder im Zustand 1 befindet und falls der 
Zustandsautomat des spezifischen Systemverhaltens gemafl Fi 

9 sich im Zustand 2 befindet. 

Kontrollierbare Ereignisse sind: 

"turn", "scan", "vacuum", "recover", "recovery turn", 
"recovery scan", "recovery vacuum", "counter", "operator 
input", "reset" . 

Unkontrollierbare Ereignisse sind: 

"done turn", "error turn", "done scan", "error scan", 
"done vacuum", "error vacuum", "done recover", 
"counter=12?", "counter<12? " , "stop", "repeat" . 
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Der jeweilige Zus tandsautomat zeigt an, in welchem Zustand 
das korrespondierende Systemverhalten beendet sein kann, d.h. 
der Zustand, der schwarz hinterlegt 1st, definiert eine 
Terminierungsbedingung . 

5 

Figur 7 zeigt das Systemverhalten an. Wie oben bereits 
erwahnt, zeigt das Systemverhalten Sequenzen von Ereignissen, 
die physikalisch mogliche Systemzustande reprasentieren . 
Derartige physikalisch mogliche Verhalten sind das Drehen des 
10 Zyl inder kopf es , das Durchfiihren des Vakuum-Tests, das 

Durchfuhren des Scann-Tests, das Erhohen und Abfragen des 
Zahlers und die Eingabe eines Kommandos, das eine vorgegebene 
Aktion auslbst. Der Zustand 0 in Figur 7 kennzeichnet sowohl 
den Initial- als auch den Endzustand des jeweiligen 
15 Systemverhal tens . 




Nach der Identif ikation des Systemverhal tens wird das 
spezifische Systemverhalten ermittelt, das sich auf ein 
Verhalten des Gesamtprozesses im Hinblick auf die zu 
20 steuernde Aufgabe bezieht. Fur das spezifische 

Systemverhalten der Fehlerbehandlung ("error recovery") ist 
der zugehorige Zustandsautomat in Figur 8 dargestellt. In 
Figur 8 gibt es zwei markierte Zustande 801 und 807, wobei 
der Zustand 801 gleichzeitig Anfangs- und ein Endzustand des 
V^^fek Zustandsautomaten ist. In den Zustanden 801 und 807 kann 

jeweils das spezifische Systemverhalten "Fehlerbehandlung" 
beendet werden. 



Gemafi den obigen Aus f iihrungen, erfolgt nun die Validierung. 
30 Dazu sind gemafl Figur 2 (vgl. Ubergang von Validierung 202 
zur Strukturierung 201: Iteration) mehrere Durchgange 
gezeigt, die schlieftlich zu der Losung gemali Figur 7 bis 
Figur 9 fuhren. 



35 



Die Figuren 8 und 9 zeigen das gesteuerte spezifische 
Systemverhalten entsprechend der vorgegebenen Funktionalitat 
des Gesamtprozesses. Dazu sind drei Aufgaben identif iziert 
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worden, die parallel ausgefiihrt werden: Fehlerbehandlung, 
Scann-Test und Vakuum-Test. Insbesondere die Fehlerbehandlung 
wird nur dann aktiviert, wenn sowohl der Scan-Test 104 als 
auch der Vakuum-Test 103 in einem markierten Zustand (vgl. 
Zustand 6 bzw. Zustande 907, 917 in Figur 9) . Der Scan-Test 
104 und der Vakuum-Test 103 werden nur aktiviert, falls die 
Fehlerbehandlung in dem Initialzustand (vgl. Zustand 0 bzw. 
801 in Figur 8) ist. 

Das Systemverhalten und das spezifische Systemverhalten gemafi 
den Figuren 7-9 sind blockierungs f rei . Weiterhin ist das 
spezifische Systemverhalten gemafi Figuren 8 und 9 
kontrollierbar in Bezug auf das Systemverhalten aus Figur 7. 

In Figur 10 wird der Gesamtprozefl aus den Automaten 
entsprechend den Figuren 7-9 zusammengesetzt . Figur 10 stellt 
den Produktautomaten der beschriebenen Automaten dar und ist 
aus sich heraus vers tandlich . Insbesondere wird der 
Produktautomat gemafi Figur 10 nicht zur Strukturierung und 
Losung der Steuerungsauf gabe fur den Gesamtprozefi verwendet, 
da die ubersichtliche Vorgehensweise, wie geschildert, einen 
strukturierten und uberschaubaren Ansatz zur Bestimmung der 
Daten, die fur die Steuerung des Gesamtprozesses notwendig 
sind, gewahrleistet . 




Eine automatische Generierung des ablauf f ahigen Programmcode 
zur Steuerung des Gesamtprozesses wird durchgef uhrt , indem 
z uerst Funk tions aufrufe den kontrollierbaren Ereianissen 



zugewiesen werden, wobei den Ruckgabewerten der 
Funktionsaufrufe oder Ausgabewerte von Sensoren den 
entsprechenden unkontrollierbaren Ereignissen zugewiesen 
werden. Der Programmcode fur die Steuerung des 
Gesamtprozesses wird generiert aus den Automatenzuweisungen 
und zugehorigen Programmcode-Fragmenten . 
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Pa tent anspruche 

1. Verfahren zum Entwurf einer Steuerung fur einen 
Gesamtprozeft, der mehrere Einzelpro zesse umfaflt, 

5 

a) bei dem Funkt ionalitaten der Einzelprozesse 
identi f iziert werden, 

b) bei dem eine Validierung durchgefiihrt wird, indem ein 
10 Zusammenspiel der Funktional itaten gemafl einer Vorgabe 

fiir den GesamtprozeB automatisch dahingehend 
verifiziert wird, dafl jeder Einzelprozefl wahrend des 
Ablaufs nicht behindert wird, 

15 c) bei dem aus einem Ergebnis der Validierung Daten fiir 

die Steuerung des Gesamtprozesses ermittelt werden. 

2. Verfahren nach Anspruch 1, 

bei dem zusatzlich zu Schritt 1c) eine Ablauf optimierung 
20 durchgefiihrt wird. 

3. Verfahren nach Anspruch 1 oder 2, 

bei dem die Daten fur die Steuerung in Form eines 
ablauf fahigen Codes ermittelt werden. 



30 



Verfahren nach einem der Anspruche 1 bis 3, 

bei dem eine der Funktionalitaten der Einzelprozesse eine 

Sof twareeinheit zur Steuerung des betroffenen 

Einzelprozesses ist. 



5. Verfahren nach einem der vorhergehenden Anspruche, 

bei dem ein Einzelprozeft behindert wird, falls eine der 
folgenden Bedingungen erfiillt ist: . 

a) der EinzelprozeG wird durch einen anderen Einzelprozefi 
35 blockiert; 

b) der Einzelprozefi erreicht einen unerlaubten Oder einen 
den Ablauf des Gesamtsystems gefahrdenden Zustand. 



Verfahren nach einem der vorhergehenden Anspriiche, 
bei ciem eine Steuerung fur Einzelprozesse eines 
Bestuckautomaten entworfen wird. 

Verfahren nach einem der vorhergehenden Anspriiche, 
bei dem die fur die Steuerung des Gesamtprozesses 
ermittelten Daten zur Steuerung einer technischen Aniage 
eingesetzt werden. 

Anordnung zum Entwurf einer Steuerung fur einen 
Gesamtprozefi, der mehrere Einzelprozesse umfafit, 
mit einer Prozessoreinhei t , die derart eingerichtet ist,| 
daft \ 

a) Funktionalitaten der Einzelprozesse identi f izierbar 
sind; 

b) eine Validierung durchfuhrbar ist, indem ein 
Zusammenspiel der Funktionalitaten gemafl einer Vorgabe 
fur den Gesamtprozefl automatisch dahingehend 
verifiziert wird, da6 jeder Einzelprozefl wahrend des 
Ablaufs nicht behindert wird; 

c) aus einem Ergebnis der Validierung Daten fur die 
Steuerung des Gesamtprozesses einsetzbar sind. 
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Zusammen fas sung 

Verfahren und Anordnung zum Entwurf einer Steuerung fur einen 
Gesamtprozeft 



Um Blockierungen zwischen konkurr ierenden Einzelprozessen 
innerhalb eines Gesamtprozesses zu verhindern, werden 
Funktionalitaten der Einzelpro zesse identi f i ziert und eine 
Validierung des Zusammenspiels dieser Funktionalitaten 
10 durchgefuhrt . Die aus der Validierung erhaltenen Daten sind 
fur eine Steuerung des Gesamtprozesses einsetzbar. 



5 
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vacuum tjm 





Fig. 6b: 12 test cycles (rotation steps) 



Fig. 6a: 24 test cycles (rotation steps) 

Fig. 6: Vacuum and scan testing tasks, in sequence and in parallel 
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recovering waiting 




repeat 



Fig. 7: System behaviour 



turn, done turn turn, done turn vacuum, 

vacuum, done vacuum done vacuum, error vacuum 




Fig. 8: Specified behaviour (error recovery) 
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Fig. 10: Non-blocking behaviour of the coordinated system 
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